¨Auditando as falhas das camadas de proteção e detecção¨ - Palestra realizada pelo consultor sênior da TechBiz Forense Digital, Marcelo Souza, no CNASI Latino Americano 2012.

1. Auditando as falhas das camadas
de proteção/detecção
Marcelo
de
Souza
Consultor
Forense
Sênior
CNASI-­‐SP,
22
de
Outubro
de
2012
© 2012 TechBiz Forense Digital LTDA. Todos os direitos reservados.

2. Sobre o tutorial
Obje%vo
• Apresentar
e
discu.r
falhas
encontradas
na
abordagem
comumente
empregada
para
SegInfo.
• Auditar,
ou
seja,
realizar
análise
crí.ca
sobre
a
eficiência
e
eficácia
das
tecnologias
e
processos
de
SegInfo
convencionais.
• Compar.lhar
conhecimento
e
experiência
sobre
como
melhorar
o
processo
de
SegInfo
como
um
todo,
e
não
somente
apontar
os
problemas.
Metodologia
• Explanações
teóricas.
• Demonstrações
prá.cas
(cenários
e
ferramentas).

3. Tópicos
l Parte
I
–
Entendendo
a
problemá%ca
l Mo.vação
l Teorias
e
prá.cas
convencionais
de
SegInfo
l Analisando
a
SegInfo
convencional
l Auditando
as
falhas
l Parte
II
–
Encontrando
soluções
l Premissas
para
uma
abordagem
diferenciada
de
SegInfo
l SegInfo
baseada
em
Resposta
a
Incidentes
3

4. Tópicos (cont.)
l Parte
III
–
Viabilizando
“Resposta
a
Incidentes”
efe%va
l Visão
Geral
de
Resposta
a
Incidentes
e
Forense
Digital
l Processos
l Pessoas
l Tecnologia
l Parte
IV
–
Concluindo
4

5. Parte I
Entendendo
a
problemá.ca

6. Motivação

7. Incidentes... sempre!
Incidentes
de
segurança
con%nuam
acontecendo,
apesar
dos
esforços
• Disseminação
do
malware
STUXNET
para
sabotar
usinas
nucleares
do
Irã
• Invasões
e
DoS
a
websites
do
Governo

8. Estamos mesmo nos esforçando?
Conhecimento
dos
Atacantes
vs.
Sofis%cação
dos
Ataques
• Ao
passar
dos
anos
o
conhecimento
necessário
“para
o
mal”
diminui,
mas
a
sofis.cação
dos
ataques
aumentou.
• Se
ficou
mais
fácil
atacar,
não
há
algo
errado
com
os
esforços
em
SegInfo?

9. Quão fácil é atacar hoje em dia?
Dois
exemplos:
• Invasão
para
roubo
de
dados
(bancários,
etc.),
criação
de
botnets,
etc.
1. Copiar
artefato
malicioso
já
disponível
na
Internet
ou
criar
um
2. Enviar
e-­‐mail
para
o
alvo,
anexando
o
artefato
ou
link
para
ele
(web)
3. Esperar
o
alvo
abrir
o
artefato
e
comprometer
a
máquina
(explorar
browsers,
Java,
Acrobat
Reader,
etc.)
4. Receber
os
resultados
• Ataques
de
DDoS
1. Alugar
uma
botnet,
ou
ter
uma
(até
mesmo
a
do
exemplo
anterior)
2. Especificar
um
alvo
e
disparar
o
ataque

10. Quão sofisticado?
Malware
e
mecanismos
de
Comando
e
Controle
(C&C)
Envio de comandos
e atualizações
Ví%ma
Criminosos
“Stay
quiet,
be
pa.ent.”
“Send
applica.on
creden.als.”
“Use
user
account,
transfer
funds.”
Command-­‐and-­‐Control
“Install
new
malware,
new
orders.”
“Look
for
high
profile
assets.”
(C&C)
“Send
plans,
formulas,
secrets…”
“I’m
here,
infec.on
successful”
“Wai.ng
for
instruc.ons”
Propriedade Intelectual
“Data Exfiltration” Transações Fraudulentas
Credenciais de Aplicações / Clientes

11. Teorias e Práticas Convencionais
de SegInfo

12. Definições e conceitos
Obje.vo
da
Segurança
da
Informação
• Proteger
a%vos
de
informação
contra
ameaças
que
possam
afetar
a
sua:
• Confidencialidade:
apenas
usuários
autorizados
podem
ter
acesso
à
informação
• Integridade:
informação
deve
ser
man.da
no
estado
deixado
pela
úl.ma
operação
válida
e
autorizada
• Disponibilidade:
informação
deve
estar
acessível
aos
usuários
autorizadas
no
momento
em
que
for
necessária

13. Análise de riscos
Modelo
matemá.co
R
=
V
x
A
/
C

14. Segurança em profundidade
Internet
Perímetro / DMZ
Rede Wireless
Acesso Remoto
Rede Interna

15. Analisando a SegInfo
Convencional

16. SegInfo convencional
Obje%vos
das
etapas
(processo)
e
camadas
(tecnologia)
Detectar
o
que
Evitar
que
algo
pode
estar
aconteça
acontecendo
Recuperar
o
Reagir
a
um
ambiente
e
incidente,
corrigir
realizando
problemas
contenção

17. SegInfo convencional (cont.)
“Vou
sempre
prevenir,
detectando
apenas
as
possíveis
exceções,
reagindo
e
remediando
conforme
necessário.”
Presume-­‐se
que
Detecção
age
a
prevenção,
via
como
“backup”
de
regra,
sempre
da
prevenção
funciona
Reação
somente
quando
a
Remediação
prevenção
e
após
a
reação
detecção
falharem

18. SegInfo convencional (cont.)
Ou
ainda:
“Vou
remediar
como
forma
de
reagir
a
algo
que
detectei,
quando
eventualmente
não
conseguir
prevenir.”
A
segurança
do
ambiente
está
...e
na
detecção
toda
baseada
na
prevenção...
...a
própria
A
reação
acaba
remediação
sendo...

19. SegInfo, “as we know it”
“Estou
constantemente
reagindo
e/ou
remediando,
já
que
não
pude
detectar
a
tempo
e
minha
prevenção
não
foi
eficaz.”
Detecção
tardia,
Prevenção
falhou
ou
“noZcia”
Reação
Remediação
constante
e
“no
constante
susto”

20. SegInfo, “as we know it” (cont.)
Na
prá%ca
acaba
se
tornando:

21. Auditando as falhas

22. Listando as falhas em geral
Falhas
da
abordagem
convencional
de
SegInfo:
• Prevenção
não
é
100%
efe.va,
logo
não
funciona
como
deveria.
• Basta
uma
“possível
exceção”
ter
sucesso
para
toda
abordagem
falhar.
• Reação
muitas
vezes
desfavorecida,
pois
a
organização
prioriza
a
prevenção.
• Remediação
constante,
também
muitas
vezes
ineficaz.
• Cria-­‐se
a
“falsa
sensação
de
segurança”
ao
confiar
nessa
abordagem.

23. Listando as falhas em geral (cont.)
Em
outras
palavras:
Detecção
Remediação
• Sempre
haverá
mais
míope
• Impossível
reagir
de
palia.va
ameaças
do
que
se
forma
completa
sem
pode
enfrentar.
• Enxerga-­‐se
menos
do
saber
exatamente
• Impossível
remediar
que
realmente
quando,
o
que
e
como
em
defini.vo
sem
acontece.
algo
aconteceu.
conhecer
a
extensão
dos
danos.
Prevenção
Reação
tardia
inglória
e
limitada

24. Falhas específicas: firewall
Soluções
convencionais
de
filtragem
de
protocolos
de
rede
• Funcionamento:
• Normalmente
libera
o
tráfego
que
é
explicitamente
permi.do
na
organização,
bloqueando
todo
o
resto.
• Falhas:
• Muitas
vezes
possui
configuração
excessivamente
permissiva.
• Tráfego
web
e
e-­‐mail,
obviamente
liberado,
concentra
pra.camente
a
totalidade
dos
vetores
de
ataque.
• Talvez
não
possa
ser
considerada
uma
solução
de
segurança
“at
all”,
apesar
de
muitos
discordarem.

25. Falhas específicas: antivírus
Soluções
de
an%vírus,
an.-­‐malware,
etc.
• Funcionamento:
• Verifica
se
um
arquivo
possui
padrão
malicioso
já
conhecido.
• É
necessário
que
a
base
de
assinaturas
seja
constantemente
atualizada.
• Para
cada
novo
malware
e
suas
variantes,
o
fabricante
precisa
lançar
atualizações.
• Falhas:
• Padrões
devem
ser
previamente
conhecidos
(modelo
de
segurança
nega.vo
–
“blacklist”).
• Proteção
suscervel
a
anulação
mesmo
em
pequenas
modificações
de
malware.
• Alto
índice
de
falsos
nega.vos.
• Nenhuma
proteção
em
casos
de
“zero
day”.

26. Falhas específicas: antivírus (cont.)
• Estudo
mostra:
se
o
AV
não
detectar
um
malware
novo
em
6
dias,
ele
nunca
irá
(
hsp://www.theregister.co.uk/2012/08/23/an._virus_detec.on_study/)
• O
estudo
também
mostrou
que
após
30
dias,
as
soluções
de
AV
detectaram
menos
do
que
no
primeiro
dia
de
testes.

27. Falhas específicas: antivírus (cont.)
Demonstração
1. Código-­‐fonte
de
um
malware
simples
2. Vídeo
do
funcionamento
do
malware
3. Vídeo
da
verificação
u.lizando
VirusTotal
(www.virustotal.com)
4. Relatório
da
verificação
do
malware
u.lizando
GFI
Sandbox
(www.threasrack.com)

28. Falhas específicas: IDS/IPS
Soluções
de
detecção
de
intrusão
em
rede
• Funcionamento:
• Capturam
o
tráfego
e
verificam
a
equivalência
com
conjunto
de
assinaturas
pré-­‐definido.
• Falhas:
• Padrões
devem
ser
previamente
conhecidos.
• Detecção
suscervel
a
anulação
mesmo
em
pequenas
modificações.
• Nenhuma
detecção
em
casos
de
“zero
day”.
• Detecção
suscervel
a
falsos
nega.vos.
• Alto
índice
de
falsos
posi.vos,
dificultando
sua
monitoração.

29. E as tecnologias levam a culpa?
Não
se
esqueçam
que
SegInfo
é
mais
que
um
produto...
é
ProPeTec!
Processos
Pessoas
Tecnologia

30. ProPeTec e as falhas
De
forma
detalhada,
o
impacto
de
cada
“domínio”
e
suas
relações
Processos
Pessoas
Tecnologia
Prevenção
• Configuração,
atualização
• Ineficaz,
não
e
manutenção
irregular
funcionando
como
deveria
• Muitos
falsos
• Não
existe
equipe
nega.vos
Detecção
• Procedimentos
de
• Head
count
• Ineficiente,
não
monitoração
não
são
insuficiente
funcionando
definidos
/
seguidos
• Não
exclusivas
como
deveria
para
SegInfo
• Muitos
falsos
• Ausência
de
posi.vos
e
falsos
preparação
e
nega.vos
treinamento
Reação
• Procedimentos
raramente
• Muitas
vezes
existem
ausente
Remediação

31. ProPeTec e as falhas (cont.)
Resumindo
Processos
Pessoas
Tecnologia
• Não
existem
• Não
existe
equipe
• Sistemas
de
• Quando
existem,
não
• Quando
existe,
é
prevenção
ineficazes
são
bem
definidos
e
pouco
preparada
/
• Sistemas
de
detecção
divulgados
treinada
tradicional
• Procedimentos
e
• Head
count
ineficientes
ro.nas
de
insuficiente
• Muitos
falsos
incompletas
• Não
exclusivas
para
posi.vos
e
falsos
SegInfo
nega.vos
• Ausência
de
solução
de
reação
e/ou
remediação

32. Parte II
Encontrando
soluções

33. Premissas para uma abordagem
diferenciada de SegInfo

34. Outra ótica: Time Based Security
Seguindo
o
conceito
de
TBS:
• Um
sistema
de
proteção/prevenção
(p)
pode
ser
considerado
seguro
se
funcionar
por
mais
tempo
que
o
tempo
de
detecção
(d)
somado
ao
tempo
de
reação
(r)
a
um
incidente:
Tp > Td + Tr
• Como
vimos,
a
prevenção
é
falha.
Logo,
o
tempo
de
proteção
passa
a
ser
na
verdade
tempo
de
exposição
(e),
que
irá
durar
até
a
conclusão
da
reação
Te = Td + Tr
Referência:
Time
Based
Security
(Winn
Schwartau)

35. Time Based Security é a chave
• Se
não
houver
detecção
e/ou
reação
(logo,
ambos
tendendo
ao
infinito),
então
o
sistema
estará
sempre
exposto:
Te à ∞
• Conclusão:
detecção
e
reação
são
importantes
e
úteis,
porém
somente
se
forem
rápidas
(eficientes)
e
produzirem
resultados
(eficazes).

36. SegInfo, “as it should be”
Outras
premissas
• Foco
em
tecnologias
de
prevenção
já
se
mostrou
equivocado.
à Não
vale
à
pena
concentrar
esforços
e
depender
apenas
disso.
• As
soluções
de
detecção
convencionais
não
são
suficientes.
à Porém
ainda
precisamos
monitorar
o
que
acontece
no
ambiente.
• E
quando
algum
incidente
acontece?
à Precisamos
reagir.
Para
isso
é
necessário
iden%ficar
a
ocorrência,
inves%gar
causas
e
resolver
os
issues,
de
modo
que
a
resposta
seja
completa.
• Então
o
foco
passa
a
ser
somente
em
responder
aos
incidentes?
à
O
foco
deve
ser
num
conjunto
de
capacidades
que
permi.rão
mi.gar
riscos
e
impactos
ao
negócio.

37. SegInfo baseada em Resposta a
Incidentes

38. Abordagem baseada em RI
Conjunto
de
capacidades
integradas
para
maior
efe%vidade
de
SegInfo
Monitoração
Resposta
Resolução
a
Iden.ficação
Incidentes
Inves.gação

39. Abordagem baseada em RI (cont.)
Monitoração,
Iden%ficação,
Inves%gação
e
Resolução,
usando
ProPeTec
Monitoração
Resolução
Iden.ficação
Inves.gação

40. Abordagem baseada em RI (cont.)
Benedcios
à
Visibilidade
à
Consciência
Situacional
à
Resposta
Asser%va

41. Parte III
Viabilizando
“Resposta
a
Incidentes”
efe.va

42. Visão Geral de Resposta a
Incidentes e Forense Digital

43. Conceitos
Incidente
de
segurança
• Qualquer
ação
ilegal,
inaceitável
ou
não
autorizada
que
envolva
um
sistema
ou
rede
de
computadores
Resposta
a
incidente
(RI)
• Processo
que
visa
a
iden.ficação,
inves.gação
e
resolução
de
um
incidente
Forense
Digital
• Disciplina
focada
na
descoberta,
extração
e
inves.gação
de
evidências
a
par.r
de
meios
digitais
(computadores,
celures,…)
DFIR
• Digital
Forensics
and
Incident
Response,
sigla
muito
u.lizada

44. Conceitos (cont.)
Evento
/
Ataque
/
Incidente
/
Crime
A
Common
Language
for
Computer
Security
Incidents
(hsp://www.cert.org/
research/
taxonomy_988667.pdf)
l Um
evento
é
caracterizado
por
uma
ação
executada
num
alvo.
Representará
um
ataque
ou
violação
quando
ferramentas
forem
u.lizadas
para
explorarem
falhas,
produzindo
resultados
não
autorizados.
l Quando
houver
sucesso
nos
obje.vos
de
um
agente
qualquer
ao
executar
um
ataque,
estará
então
caracterizado
um
incidente.
Dependendo
do
alvo,
obje.vos,
resultado
e
agente,
poderá
este
incidente
ser
caracterizado
como
crime.
44

45. Conceitos (cont.)
A
Common
Language
for
Computer
Security
Incidents
(hsp://www.cert.org/
research/
taxonomy_988667.pdf)
45

46. Normas e Regulamentações
• ISO
27002,
seção
13
• PCI
DSS,
requisito
12.9
“Implement
an
incident
response
plan,
be
prepared
to
respond
immediately
to
a
system
breach”
• SOx
Resposta
a
Incidentes
pode
ajudar
a
fornecer
accountability.

47. Times de Resposta a Incidentes
Siglas
u%lizadas:
l CSIRT
-­‐
Computer
Security
Incident
Response
Team
l FIRST
-­‐
Forum
of
Incident
Response
and
Security
Teams
l CIRC
-­‐
Computer
Incident
Response
Capability
l CIRT
-­‐
Computer
Incident
Response
Team
l IRC
-­‐
Incident
Response
Center
l IRT
-­‐
Incident
Response
Team
l SERT
-­‐
Security
Emergency
Response
Team
l SIRT
-­‐
Security
Incident
Response
Team
47

48. Times de Resposta a Incidentes (cont.)
CSIRTs
no
Brasil
48

49. Times de Resposta a Incidentes (cont.)
Desdobramentos
recentes:
“Defesa
ciberné%ca”
49

50. Demanda por Forense Digital
l Todos
incidentes
iden.ficados
demandam
alguma
ação
em
resposta.
l Essa
ação
pode
ter
como
obje.vos:
l Determinar
as
consequências
l Como
prosseguir
após
essa
ocorrência?
Quais
serão
os
próximos
passos?
l Quan.ficar
prejuízos
l Qual
o
impacto,
seja
ele
financeiro,
de
imagem,
moral,
etc.?
l Definir
a.vidades
de
recuperação,
correção,
etc.
l O
que
precisa
ser
feito
para
reestabelecer
a
normalidade?
l Definir
sanções,
multas,
penas,
etc.
l Quem
precisa
ser
punido?
O
que
exatamente
jus.ficaria
a
punição?
50

51. Demanda por Forense Digital (cont.)
l Para
a.ngir
estes
obje.vos,
certamente
será
necessário
descobrir
e
comprovar:
l A
ocorrência
do
incidente
e
sua
extensão
l As
causas
(fatores
que
levaram
ou
permi.ram
sua
ocorrência)
l Os
causadores
(acidentais
ou
propositais)
l Sempre
que
se
deseja
descobrir
e
comprovar
algo
sobre
um
incidente,
uma
inves.gação
se
faz
necessária.
l Estas
inves.gações
são
suportadas
por
a.vidades,
ferramentas
e
profissionais
de
Forense
Digital.
51

52. Demanda por Forense Digital (cont.)
l Diversas
áreas
organizacionais
e
situações
podem
demandar
Forense
Digital.
Alguns
exemplos:
Segurança
da
Defesa
Perícia
Criminal
Auditoria
Inteligência
Informação
Ciberné.ca
• Crimes
• Defacement
• Má
conduta
• Inves.gação
• Sabotagem
de
envolvendo
de
sites
de
funcionário
de
a.vidade
sistemas
uso
de
• Vazamento
de
• Sonegação
suspeita
crí.cos
computadores
informações
tributária
• Espionagem
• Ataques
(pirataria,
• Ataques
de
• Fraudes
contra
pedofilia,
etc.)
DoS
infraestrutura
da
nação
52

53. Processos

54. Importância dos processos para RI
l Metodologia
com
processos
formais
provê
benezcios:
l Previne
respostas
precipitadas,
incorretas
ou
incoerentes.
l Confirma
ou
nega
a
ocorrência
de
um
incidente
e
sua
extensão.
l Estabelece
controles
para
a
correta
manipulação
de
provas.
l Promove
resolução
e
reparação
mais
rápidas.
l Minimiza
a
exposição
e
o
comprome.mento
de
informações.
l Favorece
a
resposta
a
futuros
incidentes
com
lições
aprendidas.
54

55. Metodologia CERT CC
Fonte:
Defining
Incident
Management
Processes
for
CSIRTs:
A
Work
in
Progress.
(hOp://www.cert.org/archive/pdf/04tr015.pdf)

56. Metodologia NIST
Fonte:
NIST
Special
Publica.on
800-­‐61
–
Revision
2
(pdf)

57. Detalhando uma metodologia
Metodologia
detalhada
(base
para
referência)
Monitoração
Iden%ficação
Inves%gação
Preparação Formulação
Resposta Coleta de Análise de
pré- Detecção da
dados dados Relatório
incidente Inicial estratégia
Forense Digital
Contenção
Resolução
Recuperação
Implementação de medidas

58. Metodologia base
Preparação
pré-­‐incidente
• Chave
para
o
sucesso
• Deve-­‐se
preparar
a
organização
para
que
RI
possa
acontecer
• Polí.cas
(AUP,
etc),
procedimentos,
etc.
• Modelos
de
documentação
e
formulários
• Equipe
(CSIRT)
e
treinamentos
• So{ware
e
hardware
para
detecção,
inves.gação
e
resposta
• Ninguém
quer
se
preparar
após
o
pior
acontecer...

59. Metodologia base (cont.)
Detecção
• Sem
detecção
eficiente
e
eficaz,
não
existe
resposta
• Parte
crucial
do
TBS
• Pode
acontecer
de
várias
formas
(vários
canais)
• O
máximo
de
informações
deve
ser
registrado.
Ex.:
data/hora,
o
quê
foi
reportado,
natureza,
a.vos
envolvidos,
pontos
de
contato.

60. Metodologia base (cont.)
Resposta
inicial
• Obter
/
centralizar
todas
informações
possíveis
• Determinar
.po
do
incidente
e
seu
impacto
• Listar
possíveis
passos
a
seguir
• Não
envolve
coleta
direta
no
equipamento,
e
sim:
• Entrevistas
com
usuários
e
administradores
• Verificação
de
relatórios
das
ferramentas
de
monitoração
• Revisão
de
logs
de
equipamentos
de
rede
• O
mínimo
aqui
é
determinar
se
houve
mesmo
um
incidente

61. Metodologia base (cont.)
Formulação
da
estratégia
de
resposta
• Determinar
como
será
a
resposta,
dadas
as
circunstâncias:
• Polí.cas
• Técnicas
• Legais
• Negócio
• Estratégia
final
é
definida
pelo(s)
líder(es)
da
equipe
• Certamente
o
“vazamento
de
um
projeto
confidencial”
terá
resposta
diferente
de
“usuário
recebendo
e-­‐mail
de
phishing”

62. Metodologia base (cont.)
Formulação
da
estratégia
de
resposta
(cont.)
• Algumas
questões
importantes:
• Qual
a
cri.cidade
do
sistema
afetado?
• Quão
sensível
é
a
informação
comprome.da?
• Quem
são
os
perpetradores
potenciais?
• O
incidente
foi
a
público?
• Qual
é
o
nível
de
acesso
ob.do
pelo
atacante?
• Qual
é
a
habilidade
técnica
aparente
do
atacante?
• Quanto
tempo
de
indisponibilidade
está
envolvido?
• Quanto
de
perda
financeira?

63. Metodologia base (cont.)
Formulação
da
estratégia
de
resposta
(cont).
• Exemplos
de
estratégias:
Fonte:
Incident
Response
&
Computer
Forensics
(Kevin
Mandia)

64. Metodologia base (cont.)
Forense
Digital
§ Obje.vo:
descobrir
quem,
o
quê,
quando,
onde,
como
e
por
quê
§ Conduzida
com
base
nas
evidências
encontradas
nos
sistemas,
entre
outras
§ Duas
etapas
básicas:
• Coleta
de
dados:
• Análise
de
dados

65. Metodologia base (cont.)
Forense
Digital
–
Coleta
de
dados
• Acumular
fatos
e
provas
sobre
o
incidente
• Quanto
mais
completa
a
coleta,
maior
a
possibilidade
de
sucesso
• Outros
desafios
únicos
desta
etapa:
• Os
dados
devem
ser
coletados
de
forma
forense
• Normalmente
são
coletados
mais
dados
do
que
se
pode
analisar
• Os
dados
devem
ser
manipulados
de
modo
que
a
integridade
seja
man.da

66. Metodologia base (cont.)
Forense
Digital
–
Coleta
de
dados
(cont.)
• Exemplos
de
evidências
digitais:
• Arquivos
(imagens,
vídeos,
documentos,
executáveis,
etc.)
• Histórico
de
conversas
em
IM
(MSN,
Skype,
etc.)
• Histórico
de
navegação
na
web
(browsers),
cookies
e
bookmarks
• E-­‐mails
• Tráfego
de
rede
capturado
• Logs
de
servidores

67. Metodologia base (cont.)
Forense
Digital
–
Análise
de
dados
Iniciar Análise
Reiniciar Dados
[Não]
Tratamento Suficientes?
[Sim]
Processos de Análise
Responder:
Quem/O que?, Quando?, Onde?, Como?, Por que?
Utilizar os processos de análise para obter as respostas
Recuperação de Arquivos
Análise de Emails
Apagados
Análise de Documentos Análise de Hash
Análise de Artefatos Web Comparação de Baseline
Análise de Artefatos de SO Outras Análises Específicas
Existe Informação Se obtidas, analisar
Abrir uma Nova relevância dos dados
[Sim] Incriminante fora do
Investigação levantados e
escopo inicial?
relacionamento com
dados atuais
[Não]
Novos Alvos Requisitar
[Sim] Identificados? Informações
[Sim]
[Não]
Necessário
Informações Suficientes Informações fora das [Não]
[Não]
para Concluir? permissões diretas do
investigador?
[Sim]
Preparar
Relatório

68. Metodologia base (cont.)
Forense
Digital
–
Análise
de
dados
(cont.)
• As
a.vidades
de
análise
devem
ter
como
obje.vo
responder
às
seguintes
questões
(Heptâmetro
de
Quin%liano):
• QUIS?
Quem?
• QUID?
O
quê?
• UBI?
Onde?
• QUIBUS
AUXILIIS?
Com
que
auxílio?
• CUR?
Por
quê?
• QUODOMO?
De
que
modo?
• QUANDO?
Quando?

69. Metodologia base (cont.)
Relatório
• Obje.vo:
criar
documentação
que
descreva
precisamente
os
detalhes
do
incidente
• Recomendações:
• Documente
imediatamente
• Escreva
de
forma
concisa
e
clara
• Siga
um
padrão
e
um
modelo

70. 19/11/12
Metodologia base (cont.)
Relatório
(cont.)
70

71. 19/11/12
Metodologia base (cont.)
Relatório
(cont.)
• Recurso
visual:
Vmeline
71

72. Pessoas

73. Dez aptidões essenciais
10.
GERENCIAMENTO
DO
1.
COMUNICAÇÃO
TEMPO
ORAL
E
ESCRITA
9.
SOLUÇÃO
DE
2.
APRESENTAÇÃO
PROBLEMAS
8.
ADMINISTRAR
O
3.
POLÍTICAS
E
ESTRESSE
PROCEDIMENTOS
7.
CONHECER
SEUS
4.
DIPLOMACIA
LIMITES
6.
INTEGRIDADE
5.
TRABALHO
EM
PESSOAL
EQUIPE
19/11/12 73

74. Dez aptidões essenciais (cont.)
1. Ter
comunicação
oral
e
escrita
correta.
2. Ter
boa
apresentação
pessoal
(aparência
e
ves.mentas).
3. Saber
a
importância
de
seguir
à
risca
polí.cas
e
procedimentos.
4. Munir-­‐se
de
diplomacia.
5. Saber
trabalhar
em
equipe.
6. Ser
íntegro.
7. Conhecer
seus
limites.
8. Saber
administrar
o
estresse
e
lidar
com
pressão.
9. Ter
faro
para
a
solução
de
problemas.
10. Saber
gerenciar
o
tempo.

75. Seis domínios técnicos
6.
SISTEMAS
1.
TÉCNICAS
DE
OPERACIONAIS
ANÁLISE
5.
PROGRAMAÇÃO
2.
FERRAMENTAS
DE
RESPOSTA
A
INCIDENTES
4.
REDES
3.
SEGURANÇA
DA
INFORMAÇÃO

76. Entidades e associações

77. Certificações
l GCIH
–
GIAC
Cer.fied
Incident
Handler
hsp://www.giac.org/cer.fica.on/cer.fied-­‐incident-­‐handler-­‐gcih
l GCIA
–
GIAC
Cer.fied
Intrusion
Analyst
hsp://www.giac.org/cer.fica.on/cer.fied-­‐intrusion-­‐analyst-­‐gcia
l GCFA
–
GIAC
Cer.fied
Forensic
Analyst
hsp://www.giac.org/cer.fica.on/cer.fied-­‐forensic-­‐analyst-­‐gcfa

78. Tecnologia

79. Diversas áreas de atuação
Domínios
da
Forense
Digital
Computadores
Rede
Sistemas
Servidores
e
estações
• Discos
e
mídias
removíveis
• Memória
Tráfego
de
rede
Logs
de
sistemas
Disposi%vos
móveis
79

80. Diversas formas de atuar
Técnicas
u%lizadas
pelas
soluções
l Normalmente
são
u.lizadas
técnicas
específicas
para
cada
caso,
mas
também
podem
variar
conforme
a
demanda.
Coleta
Post-­‐ Coleta
Coleta
Live
Mortem
Remota
Discos
e
Tráfego
de
Logs
de
mídias
rede
sistemas
removíveis
Servidores
Servidores
Disposi.vos
e
estações
e
estações
móveis
(ligados)
(ligados)
80

81. Forense de disco
Definição:
É
o
.po
de
forense
“tradicional”,
onde
as
evidências
são
os
dados
gravados
em
mídias
e
disposi.vos
de
Computadores
armazenamento
eletrônico
em
geral.
Servidores
Insumos
para
evidências:
e
Estações
l Discos
rígidos
(internos)
e
mídias
removíveis,
• Discos
e
usualmente
com
coleta
post
mortem
(podendo
ser
mídias
também
live
e
remota,
através
de
agentes).
removíveis
81

82. Forense de memória
Definição:
É
o
.po
de
forense
onde
as
evidências
são
ob.das
a
par.r
de
dumping
e
análise
dos
dados
Computadores
armazenados
em
memória
RAM
(volá.l).
Servidores
Insumos
para
evidências:
e
Estações
l Memória
RAM,
com
coleta
live
(normalmente
remota,
• Memória
através
de
agentes).
82

83. Forense de dispositivos móveis
Definição:
É
o
.po
de
forense
realizada
em
telefones
celulares,
smartphones,
tablets,
GPSs,
etc.
Os
dados
Computadores
gravados
nestes
disposi.vos,
tais
como
fotos,
mensagens
SMS,
registros
de
ligações,
entre
outros
podem
ser
usados
como
evidências.
Disposi%vos
Insumos
para
evidências:
Móveis
l Imagem
lógica
(arquivos,
registros)
ou
zsica
(bit-­‐a-­‐bit),
coletados
geralmente
post
mortem,
com
acesso
zsico
ao
disposi.vo.
83

84. Forense de rede
Definição:
É
a
captura,
armazenamento
e
análise
de
dados
trafegados
numa
rede
de
computadores
para
detectar
a
origem
de
algum
problema
de
Rede
segurança
ou
algum
outro
incidente.
Insumos
para
evidências:
Tráfego
l Tráfego
de
rede,
usualmente
com
coleta
live
(podendo
de
rede
ser
também
post
mortem).
84

85. Análise de Logs
Definição:
É
a
captura,
armazenamento
e
análise
de
eventos
gerados
pelos
sistemas
(SO,
bancos
de
dados,
Sistemas
aplicações,
etc.)
que
podem
ser
usados
como
evidências.
Insumos
para
evidências:
Logs
l Logs
(registros
em
trilhas
de
auditoria),
com
coleta
local
ou
remota
(ferramentas
de
SIEM
e
log
management),
live
ou
post
mortem.
85

86. Integração entre soluções de RI
Obje.vando
visibilidade,
consciência
situacional
e
resposta
asser%va
Gestão
de
Eventos
Forense
de
Rede
Forense
e
Remediação
de
Hosts
86

87. Parte IV
Concluindo

88. Benefícios
O
modelo
baseado
em
RI
vs
Prevenção/Detecção
convencional:
• Monitoração
feita
de
maneira
integrada
traz
visibilidade
sobre
os
domínios
(Rede,
Hosts,
Sistemas)
e
contextualização
sobre
os
incidentes.
• Iden%ficação
focada
em
ameaças
e
impactos
reais,
conforme
o
contexto
da
organização
(ambiente
e
negócio).
• Inves%gação
elucida.va
que
suporte
ações
(operacionais
e
legais)
posteriores,
visando
melhorias.
• Resolução
que
viabilize
reação
asser.va.

89. Bibliografia recomendada
Incident
Response
&
Computer
Forensics
(Kevin
Mandia,
Chris
Prosise,
Ma;
Pepe)
Real
Digital
Forensics:
Computer
Security
and
Incident
Response
(Keith
Jones,
Richar
Bejtlich,
Cur.s
Rose)
Cyber
Crime
Inves%ga%ons
(Anthony
Reyes)

90. Servidos prestados pela TBFD
ANÁLISE
FORENSE
IMPLANTAÇÃO
DE
PROCESSOS
DIAGNÓSTICOS
DE
COMPROMETIMENTO
INCIDENT
RESPONSE
TEAM
IMPLANTAÇÃO
DE
CSIRT

91. Fim
Marcelo de Souza
Consultor Sênior
marcelo.souza@techbiz.com.br
www.marcelosouza.com
@marcelo_sz